Recentemente, a descoberta de um software malicioso de remoção massiva de dados que até agora não havia sido documentado publicamente e que, segundo os pesquisadores, foi utilizada em ataques dirigidos contra organizações do setor energético e de serviços na Venezuela. A análise técnica, publicada pela Kaspersky, mostra uma operação em várias fases desenhada para deixar máquinas e servidores em um estado irreparável: primeiro são desativados mecanismos de defesa e sabotem as opções de recuperação, e depois chega a fase final, na qual o código destrói discos a baixo nível.
Os detalhes técnicos explicados pelos analistas revelam uma cadeia de ferramentas e scripts que atuam como preparação do terreno. A partir de um primeiro programa por lote, os serviços do Windows são neutralizados e são realizados testes para coordenar a execução em equipamentos ligados a um domínio. Um segundo programa amplia as ações: lista as contas locais, força mudanças de senha para desativá-las, fecha sessões ativas, curta interfaces de rede e anula inícios de sessão armazenados, dificultando tanto a resposta humana como a recuperação remota.
Além dessas ações administrativas, os atacantes recorrem a utilitários legítimos do sistema —ferramentas que normalmente são usadas por administradores — para apagar e sobrepor conteúdo: invoca-se diskpart para executar “clean all” e preencher os setores com zeros, é usado roubocopy para sobrepor arquivos e se recurre a fsutil para criar arquivos que ocupem o espaço livre do disco, o que complica ainda mais qualquer tentativa de restauração de dados. Kaspersky descreve como, após estas manobras iniciais, o script decifra e lança o executável final do rascunho, batizado pelos pesquisadores como Lotus. Pode ler o relatório técnico na publicação do próprio laboratório: Kaspersky Securelist sobre Lotus.
O que distingue Lotus é que não se limita a apagar arquivos a nível de sistema de arquivos: opera a um nível mais profundo mediante chamadas IOCTL ao disco físico, obtém a geometria do disco, limpa entradas de jornais USN e elimina pontos de restauração. O componente de remoção descreve setores físicos completos — não apenas volumes lógicos — e repete ciclos de eliminação e eliminação de pontos de restauração até deixar o dispositivo em um estado onde as técnicas habituais de recuperação são ineficazes. Em paralelo, o wiper eleva os seus privilégios para garantir o acesso administrativo pleno e aplica técnicas como renombrar arquivos de forma aleatória e sobrepor o seu conteúdo com zeros antes de removê-los ou agendar a sua eliminação no arranque se estiverem bloqueados.
O padrão operacional que descrevem os especialistas desenha uma campanha dirigida e calculada: o binário de Lotus foi subido para uma plataforma pública em meados de dezembro de uma máquina localizada na Venezuela, e seu comportamento se encaixa com táticas usadas em ataques destrutivos anteriores, nos quais a intenção não é o resgate econômico, mas a eliminação irreversível de dados e a interrupção prolongada de serviços críticos.
O Kaspersky também aponta para o contexto: o aparecimento de malware coincide com um momento de alta tensão geopolítica na região e com relatos de mídia sobre incidentes que afetaram infraestrutura energética em datas próximas. No entanto, os pesquisadores sublinham que não há evidências públicas que permitam atribuir de forma direta todos esses incidentes ao uso deste wiper específico ou que confirmem que organizações concretas sofreram deletadas totais por Lotus.
Do ponto de vista de detecção e resposta, os indicadores que emergem do relatório devem servir como prioridade para administradores e equipamentos de segurança: mudanças invulgares na partilha NETLOGON, manipulação de serviços como UI0Detect, modificações massivas de contas de usuário, desconexão ou desactivação de interfaces de rede e uso inesperado e massivo de ferramentas como diskpart, roubocopy ou fsutil costumam preceder a detonação da carga destrutiva. Vigiar a telemetria destas áreas e correlacionar-a com outros sinais de compromisso pode permitir parar a campanha antes de a remoção ser executada a baixo nível.
Em termos práticos, as recomendações básicas não diferem das boas práticas contra programas destrutivos: manter cópias de segurança offline e air-gapped, verificar periodicamente que essas cópias são restauratáveis, restringir o uso de contas com privilégios e auditar mudanças nelas, aplicar princípios de mínimo privilégio em ambientes produtivos e implantar detecção avançada que identifique uso abusivo de utilidades legítimas do sistema. Para guias operacionais e recursos de defesa contra este tipo de ameaças, agências de segurança e centros de resposta publicaram recomendações abertas que convém rever, como as coletadas pela Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA ( CISA — StopRansomware).
O caso de Lotus lembra que as ameaças destrutivas continuam a ser uma ferramenta eficaz em conflitos cibernéticos e que a defesa exige uma combinação de prevenção técnica, boas práticas administrativas e preparação operacional. Os equipamentos de infra-estruturas críticas devem priorizar a visibilidade de mudanças no ambiente e a conservação segura de cópias de dados, porque uma vez que um wiper que atua a nível físico começa a operar, as opções de recuperação diminuem drasticamente.
Se você quer aprofundar a análise técnica e os indicadores de compromisso que a Kaspersky publicou, você pode consultar o relatório original em seu blog: Kaspersky — Lotus wiper. Para medidas gerais de preparação e resposta a ransomware e wipers, os recursos de CISA são um bom ponto de partida: https://www.cisa.gov/stopransomware.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...